職務分離ルールを作成する

職務分離(SOD)ルールを作成すると、そのルールはスケジュール済みのキャンペーンすべてと、ユーザーが提出する新しいアクセスリクエストに影響します。アクティブなキャンペーンやルールの作成前に提出されたアクセスリクエストは影響を受けません。

開始する前の確認事項

スーパー管理者としてサインインするか、職務分離(SOD)のリスクルールを管理(Manage separation of duties (SOD) risk rules)アプリケーションを管理(Manage applications)の権限を持つ管理者としてサインインします。カスタムロールには、リスクルール(Risk Rules)リソースタイプを含むリソースセットが必要です。「カスタム管理者ロール」、「ロールの権限」、「リソースセットを作成する」を参照してください。

ルールの作成

  1. Admin Consoleで、アプリケーション(Applications) > アプリケーション(Applications)に移動します。

  2. 職務分離(SOD)ルールを作成するアプリ統合を見つけてクリックします。
  3. 職務分離(Separation of duties)タブをクリックします。
  4. ルールを作成(Create Rule)(Create rule)をクリックします。
  5. ルールの名前、説明、任意のメモを入力します。メモの内容はSODレポートに表示され、監査の目的に役立ちます。たとえば、「このルールはSOX要件を満たすために作成されました」というメモは、ルールの目的を示します。
  6. 各ルールは2つのリストで構成され、デフォルトの名前はリスト1(List 1)リスト2(List 2)です。リストの名前を変更するには、鉛筆アイコンをクリックして名前を更新し、チェックマークをクリックします。
  7. 両方のリストで、それぞれのドロップダウンメニューからいずれか1つ(Any one of)またはすべて(All)(All of) のどちらかを選択します。
    • いずれか1つ(Any one of):ユーザーがリスト内のエンタイトルメント値のペアを1つ以上持っている場合、そのユーザーはこの側のルールの条件に一致します。
    • すべて(All)(All of) : このリストに指定されたすべてのエンタイトルメント値ペアをユーザーが持っている場合、そのユーザーはこの側のルールの条件に一致します。
  8. 両方のリストで、リストに含めるエンタイトルメントとそれに対応する値を選択します。リストに別のエンタイトルメントを追加するには、エンタイトルメントの追加(+ Add entitlements)をクリックします。各リストは、すべてのエンタイトルメントで最大50個の値を持ちます。
  9. ルールを作成(Create Rule)(Create rule)をクリックします。

関連項目

考慮事項と制限

職務分離ルールを管理する

職務分離の矛盾を理解する